content/es-mx/images/repository/isc/2021/what-is-cryptojacking-1.jpg

El cryptojacking: una definición

El “cryptojacking” es un tipo de delito informático que consiste en minar criptomonedas utilizando computadoras, smartphones, tablets o incluso servidores de personas que no han autorizado tal uso. Este ciberdelito tiene la misma finalidad que tantos otros: obtener una ganancia. Sin embargo, se diferencia del resto porque debe pasar completamente desapercibido para la víctima.

¿Qué es el cryptojacking?

El cryptojacking es una amenaza que se introduce en una computadora o en un dispositivo móvil y utiliza sus recursos para generar criptomonedas. Las criptomonedas son un tipo de dinero digital o virtual, representado por tokens. La moneda digital más conocida es Bitcoin, pero existen más de tres mil. Algunas se han adentrado en el mundo físico a través de las tarjetas de crédito y otros proyectos, pero, en general, son puramente virtuales.

El funcionamiento de las criptomonedas depende de una base de datos distribuida, conocida como cadena de bloques o “blockchain”. Esta cadena se actualiza en forma periódica para incorporar las transacciones registradas entre una actualización y la otra. Las transacciones recientes se agrupan y se combinan en un bloque por medio de un complejo proceso matemático.

Generar nuevos bloques requiere poder de cómputo. Quienes lo proveen ven su trabajo recompensado con criptomonedas. Las personas que cambian recursos de cómputo por criptomonedas reciben el nombre de mineros.

Las criptomonedas más grandes tienen grupos de mineros que realizan los cálculos utilizando equipos informáticos específicos. El consumo de energía asociado a esta actividad es muy significativo: la red Bitcoin, por ejemplo, tiene hoy un consumo de más de 73 TW/h al año.

Cryptojackers y el futuro del cryptojacking

Este orden de cosas ha dado lugar al cryptojacking y a los “cryptojackers”, como se conoce a quienes buscan beneficiarse de la criptominería sin asumir sus enormes costos. El cryptojacking les brinda a los hackers la posibilidad de generar criptomonedas sin entrar en gastos, pues les evita el elevado costo de los equipos de minería y las abultadas boletas o recibos de electricidad. La criptomoneda que normalmente se genera a través de esta actividad se llama Monero. Es una de las predilectas de los ciberdelincuentes porque es difícil de rastrear.

Si el cryptojacking es una práctica en auge o en decadencia es discutible. Lo normal es que cuando aumenta el valor de las criptomonedas —en especial el valor de Bitcoin y Monero—, aumentan también los casos de cryptojacking. No obstante, en los últimos años, la actividad se ha visto atenuada por dos motivos:

  • El trabajo de las autoridades y de las fuerzas de seguridad.
  • El cierre de Coinhive, otrora el principal sitio para la criptominería. Coinhive ofrecía un código en JavaScript que, al añadirse a un sitio web, permitía generar Monero con los dispositivos de los visitantes. Los abusos no se hicieron esperar: los hackers hallaron rápidamente el modo de incorporar el script en sitios ajenos. Coinhive cerró en marzo de 2019 y, con ello, la cantidad de sitios infectados cayó bruscamente.

El móvil del cryptojacking es simple: el dinero. La criptominería puede ser una actividad muy lucrativa, pero lograr una ganancia no es fácil cuando se debe hacer frente a grandes costos. El cryptojacking es la manifestación delictiva de esta actividad. Brinda un modo ilegal, pero efectivo y económico, de generar monedas que tienen un gran valor.

¿Cómo funciona el cryptojacking?

Los ciberdelincuentes se introducen en el dispositivo de una víctima e instalan una aplicación de cryptojacking. El software se carga en segundo plano y comienza a generar criptomonedas nuevas o, si encuentra una billetera, roba monedas existentes. Aunque la víctima puede notar algún problema de rendimiento, sigue utilizando su dispositivo como siempre, ajena a lo que ocurre en realidad.

Por lo general, los hackers emplean una de dos estrategias para transformar el dispositivo de una víctima en una “estación de minería”:

  • Le envían a la víctima un correo electrónico con un vínculo malicioso. Cuando la víctima hace clic en el vínculo, el código de criptominería se carga en su dispositivo.
  • Infectan un anuncio o un sitio web con código JavaScript que se autoejecuta cuando la víctima lo carga en el navegador.

Muchos hackers emplean ambos métodos para maximizar sus ganancias. En cualquiera de los dos casos, lo que el código hace es copiar al dispositivo un script de cryptojacking, que opera en segundo plano mientras la víctima trabaja. El script intenta resolver problemas matemáticos complejos y envía los resultados a un servidor controlado por el hacker.

A diferencia de otras clases de malware, los scripts de cryptojacking no son perjudiciales ni para la computadora ni para los datos del usuario. Lo que hacen es apropiarse de parte de los recursos de cómputo. Para un usuario hogareño, que su computadora funcione un poco más lento es solo una molestia. Sin embargo, para una empresa, el cryptojacking puede ser un verdadero y costoso problema, en particular cuando son muchos los sistemas infectados. Por ejemplo:

  • El personal de sistemas deberá gastar tiempo y recursos en hallar el porqué de los problemas de rendimiento. En un intento de resolver la situación, puede que se reemplacen componentes o sistemas enteros.
  • El consumo de electricidad aumentará, con su consiguiente costo.

Algunos scripts de criptominería se comportan como gusanos: una vez que tienen acceso a una red, tratan de infectar otros dispositivos y servidores. Ello los hace más difíciles de identificar y eliminar. Algunos scripts también analizan el dispositivo de la víctima para determinar si ya había sido infectado por otro software de minería. En caso positivo, deshabilitan la aplicación de la competencia.

En los albores de la criptominería, los propietarios de algunos sitios web tuvieron una idea para monetizar el tráfico: pedir autorización a los visitantes para generar criptomonedas en sus dispositivos mientras estuvieran en el sitio. Decían que la propuesta era un trato justo: el visitante accedía al contenido sin costo y, a cambio, el sitio web usaba su computadora para la criptominería. Un sitio de juegos, por ejemplo, podía aprovechar todo el largo de una visita para generar criptomonedas con un programa en JavaScript. Cuando el visitante salía de la página, el script se detenía. La idea no es descabellada, pero el sitio debe indicar claramente cómo opera. Lo difícil para el usuario es saber si un sitio dice la verdad.

La criptominería maliciosa (es decir, el cryptojacking) es una actividad que se realiza sin permiso y que no se detiene aunque el visitante abandone el sitio. Es frecuente en los sitios de dudosa reputación, pero también se la puede ver en sitios lícitos que han sido atacados. Los usuarios no tienen forma de saber si han visitado un sitio que utiliza sus equipos para la minería. El código pasa desapercibido porque se asegura de no utilizar demasiados recursos. El usuario cree que se han cerrado todas las ventanas del navegador, pero, sin saberlo, una ventana invisible sigue abierta. A menudo, esta ventana tiene el tamaño exacto para ocultarse detrás de la barra de tareas o el reloj.

Los dispositivos móviles con Android no están exentos de sufrir estos problemas: son susceptibles a los mismos métodos de cryptojacking que se emplean para computadoras portátiles o de escritorio. En algunos ataques, se utiliza un troyano oculto en una app descargada. En otros, se redirige al usuario a un sitio infectado, que abre (y deja abierta) una ventana secreta. Aunque un teléfono individual tiene un poder de cómputo relativamente limitado, cuando el ataque afecta una cantidad suficiente de dispositivos, la capacidad de cálculo combinada justifica los esfuerzos.

Riesgos y peligros del cryptojacking

Ataques de cryptojacking: algunos ejemplos

Estos son algunos de los casos de cryptojacking más resonantes:

  • En 2019, Microsoft debió borrar de su tienda ocho apps que generaban criptomonedas en secreto, abusando de los recursos de quienes las habían descargado. Se cree que las ocho aplicaciones estaban vinculadas a una misma persona u organización, si bien decían tener tres autores diferentes. Las víctimas daban con estas apps al buscar ciertas palabras clave en la tienda o las encontraban en un ranking de apps gratuitas. En cualquier caso, cuando alguien descargaba y ejecutaba una de ellas, descargaba también, sin notarlo, un programa de cryptojacking escrito en JavaScript. Una vez activo, el programa comenzaba a buscar monedas Monero. La actividad consumía gran parte de los recursos del dispositivo y afectaba su rendimiento.
  • En 2018, se descubrió un script de criptominería oculto en The Homicide Report, un sitio perteneciente al periódico Los Angeles Times. Cuando alguien accedía al sitio, su dispositivo comenzaba a generar criptomonedas de Monero. El problema no salió a la luz de inmediato porque el script utilizaba tan pocos recursos que los visitantes no se percataban de la infección.
  • En 2018, un grupo de cryptojackers atacó la red de tecnologías operativas de una empresa europea de suministro de agua. El incidente afectó el sistema de control de la compañía e impactó seriamente en su capacidad para operar la planta. Fue el primer ataque de cryptojacking contra un sistema de control industrial del que se tenga registro. Al igual que en el ataque al Los Angeles Times, el software de minería se utilizó para generar Monero.
  • A principios de 2018, se descubrió que Coinhive había logrado introducirse en los anuncios de YouTube a través de la plataforma DoubleClick de Google.
  • En Brasil, entre julio y agosto de 2018, se registró un ataque de cryptojacking en el que resultaron infectados unos 200 000 routers de la marca MikroTik. La infección hizo que los dispositivos inyectaran el código de Coinhive en una enorme cantidad de tráfico web.

Cómo se detecta el cryptojacking

Detectar un ataque de cryptojacking no siempre es fácil: el software de minería suele estar bien oculto y sus operaciones se confunden fácilmente con otras benignas. Hay, sin embargo, tres señales características de que algo anda mal.

Detección de cryptojacking: tres indicios

  1. Problemas de rendimiento
    Uno de los principales síntomas del cryptojacking es una merma en el rendimiento del dispositivo. Si tu dispositivo funciona más lento que de costumbre o notas que deja de responder, no lo tomes como un problema menor. Otro indicio de que algo anda mal es que tu batería dure menos de lo normal.
  2. Sobrecalentamientos
    Como todo proceso intensivo, la criptominería puede hacer que el dispositivo se sobrecaliente. Las temperaturas extremas pueden ocasionar daños en el equipo o acortar su vida útil. Si notas que el ventilador de tu computadora gira a toda velocidad, puede que la temperatura haya aumentado por culpa de un sitio web o de un script de criptominería y que el equipo esté haciendo lo posible para evitar un incendio.

3. Mayor uso del procesador

Si ingresas a un sitio web que tiene poco contenido multimedia y notas que el uso del procesador aumenta, el responsable podría ser un script de cryptojacking. Una buena forma de detectar estos scripts es controlar el uso del procesador (también denominado CPU) a través del Monitor de Actividad o el Administrador de tareas. No obstante, ten en cuenta que los procesos maliciosos pueden ocultarse o hacerse pasar por otros benignos para que no los detengas. Además, si el dispositivo está funcionando al máximo de su capacidad, responderá lentamente y hacer estas investigaciones no te resultará sencillo.

Cómo protegerse del cryptojacking

Utiliza una solución de seguridad confiable

Las aplicaciones de ciberseguridad más completas, como Kaspersky Total Security, ofrecen protección contra criptomineros maliciosos y pueden detectar amenazas en cualquier sitio. Aunque esto es válido para cualquier clase de malware, lo recomendable es que instales una solución de seguridad para prevenir, y no para deshacer, un daño. También es importante que instales todos los parches y actualizaciones que estén disponibles para tu sistema operativo y para las aplicaciones que utilices (en especial, para tu navegador).

Sé consciente de las “modas” en el mundo de los criptoataques

Los delincuentes viven modificando sus scripts e inventando nuevas formas de introducirlos en los dispositivos de sus víctimas. Si mantienes una actitud proactiva y te interesas por los cambios en el mundo de las ciberamenazas, tendrás mejores posibilidades de notar si un script de cryptojacking (o alguna otra clase de malware) se ha introducido en tu dispositivo o en tu red.

Usa extensiones que bloqueen el cryptojacking en el navegador

Muchos de los scripts de cryptojacking están pensados para ejecutarse en un navegador web. Extensiones como minerBlock, No Coin y Anti Miner te ayudarán a bloquear estos scripts en los sitios que visites. Estos ayudantes están disponibles para todos los navegadores populares.

Usa un bloqueador de anuncios

Instalar un bloqueador de anuncios es un buen modo de poner freno a los scripts de cryptojacking, pues muchas veces se introducen a través de las publicidades en línea. Adblock Plus y otros programas similares son capaces de detectar y bloquear criptomineros maliciosos.

Deshabilita JavaScript

Desactivar JavaScript en el navegador es una buena medida para evitar infecciones de cryptojacking. No obstante, aunque la solución es eficaz contra los criptomineros ocultos, te impedirá usar algunas funciones que podrían resultarte necesarias.

Si sabes que una página contiene scripts de cryptojacking, bloquéala

Para protegerte de estos ataques cuando navegues por la Web, asegúrate de que cada sitio al que ingreses esté en una lista blanca cuidadosamente elaborada. Como alternativa, puedes usar una lista negra de sitios denunciados por contener scripts de cryptojacking; sin embargo, en ese caso, tu red y tus dispositivos estarán expuestos a cualquier sitio que no esté en la lista.

Puede que el cryptojacking no parezca demasiado peligroso; al fin y al cabo, lo único que se pierde es poder de cómputo. Pero este poder de cómputo se toma con fines ilícitos, sin el consentimiento o el conocimiento de la víctima, para ayudar a otros a generar dinero. Para minimizar los riesgos, te sugerimos que sigas las prácticas de seguridad recomendadas y que instales una solución de seguridad para el hogar o para Internet en todos tus dispositivos.

Artículos relacionados:

¿Qué es el cryptojacking? Definición y explicación

El “cryptojacking” es un tipo de abuso mediante el cual un delincuente utiliza el poder de cómputo de otra persona para generar criptomonedas. Descubre los riesgos y aprende a protegerte.
Kaspersky Logo